مشاركة عبر


ما هي خدمات شبكات الحاويات المتقدمة؟

خدمات شبكات الحاويات المتقدمة هي مجموعة من الخدمات المصممة لتعزيز قدرات الشبكات لمجموعات Azure Kubernetes Service (AKS). تعالج المجموعة التحديات في التطبيقات الحديثة المعبأة في حاويات، مثل إمكانية المراقبة والأمان والتوافق.

مع خدمات شبكات الحاويات المتقدمة، ينصب التركيز على تقديم تجربة سلسة ومتكاملة تمكنك من الحفاظ على مواقف أمنية قوية واكتساب رؤى عميقة حول نسبة استخدام الشبكة وأداء التطبيق. وهذا يضمن أن تطبيقاتك المعبأة في حاويات ليست آمنة فقط ولكن أيضا تحقق أهداف الأداء والموثوقية أو تتجاوزها، ما يسمح لك بإدارة البنية الأساسية وتوسيع نطاقها بثقة.

ما الذي يتم تضمينه في خدمات شبكات الحاويات المتقدمة؟

تحتوي خدمات شبكات الحاويات المتقدمة على ميزات مقسمة إلى عمودين:

  • إمكانية الملاحظة: الميزة الافتتاحية مجموعةة خدمات شبكات الحاويات المتقدمة التي تجلب قوة وحدة التحكم في Hubble إلى كل من مستويات بيانات Cilium وغير Cilium Linux. تهدف هذه الميزات إلى توفير رؤية للشبكات والأداء.

  • الأمان: بالنسبة للمجموعات التي تستخدم Azure CNI المشغل بواسطة Cilium، تتضمن نهج الشبكة تصفية اسم المجال المؤهل بالكامل (FQDN) لمعالجة تعقيدات الحفاظ على التكوين.

مراقبة شبكة الحاوية

تعد إمكانية مراقبة شبكة الحاوية في خدمة Azure Kubernetes (AKS) ميزة شاملة تم تعيينها داخل خدمات شبكات الحاويات المتقدمة، مصممة لتوفير رؤى عميقة حول نسبة استخدام الشبكة والأداء عبر البيئات المعبأة في حاويات. يعمل بسلاسة عبر كل من مستويات بيانات Cilium وغير Cilium، ما يوفر مرونة لتلبية احتياجات الشبكات المتنوعة. الاستفادة من eBPF، تعزز هذه الميزة قابلية التوسع والأداء من خلال تحديد الاختناقات المحتملة وازدحام الشبكة قبل التأثير على التطبيقات.

تتضمن الفوائد الرئيسية التوافق مع جميع متغيرات Azure CNI، والرؤية التفصيلية للمقاييس على مستوى العقدة، ومقاييس Hubble لتحليل DNS، والاتصال من الجراب إلى الجراب، وتفاعلات الخدمة. تسجل سجلات شبكة الحاوية بيانات التعريف الأساسية مثل عناوين IP والمنافذ وتدفق نسبة استخدام الشبكة، ما يتيح استكشاف الأخطاء وإصلاحها والمراقبة وإنفاذ الأمان.

بالإضافة إلى ذلك، فإنه يتكامل مع Azure Managed Prometheus وGrafana لتخزين المقاييس المبسطة والتصور. سواء كنت تستخدم الخدمات المدارة أو البنية الأساسية التي يتحكم فيها المستخدم، يضمن حل إمكانية المراقبة هذا بيئة شبكة عالية الأداء وآمنة ومتوافقة لأحمال عمل AKS.

رسم تخطيطي لبنية مراقبة شبكة الحاوية.

مقاييس شبكة الحاوية

تجمع هذه الميزة مقاييس على مستوى العقدة، بما في ذلك وحدة المعالجة المركزية والذاكرة وأداء الشبكة، لمراقبة صحة عقد نظام المجموعة. للحصول على رؤى أعمق، توفر مقاييس Hubble بيانات حول أوقات دقة DNS، والاتصال من خدمة إلى خدمة، وسلوك الشبكة على مستوى الجراب. تمكن هذه المقاييس المستخدمين من تحليل أداء التطبيق، واكتشاف الحالات الشاذة، وتحسين أحمال العمل.

لمعرفة المزيد، راجع وثائق Metrics Overview .

سجلات شبكة الحاوية

توفر سجلات شبكة الحاوية رؤى مفصلة حول نسبة استخدام الشبكة داخل المجموعات وعبرها عن طريق التقاط بيانات التعريف مثل عناوين IP المصدر/الوجهة والمنافذ والبروتوكولات واتجاه التدفق. تمكن هذه السجلات من مراقبة سلوك الشبكة واستكشاف مشكلات الاتصال وإصلاحها وفرض نهج الأمان. تضمن خيارات التسجيل المستمرة وفي الوقت الحقيقي إمكانية مراقبة الشبكة الشاملة القابلة للتنفيذ.

لمعرفة المزيد، راجع وثائق نظرة عامة على سجلات شبكة الحاوية .

أمان شبكة الحاوية

يعد تأمين تطبيقاتك المعبأة في حاويات أمرا ضروريا في بيئات السحابة الديناميكية اليوم. توفر خدمات شبكات الحاويات المتقدمة ميزات لتعزيز أمان شبكة نظام المجموعة.

التصفية المستندة إلى FQDN

تعزيز التحكم في الخروج باستخدام Azure CNI المشغل بواسطة نهج Cilium المستندة إلى DNS. تبسيط التكوين باستخدام أسماء المجالات (FQDNs) بدلا من إدارة عناوين IP الديناميكية. لمعرفة المزيد، راجع وثائق نظرة عامة على التصفية المستندة إلى FQDN .

نهج الطبقة 7 (L7) (معاينة)

احصل على التحكم الدقيق في نسبة استخدام الشبكة على مستوى التطبيق. تنفيذ نهج تستند إلى بروتوكولات مثل HTTP وgRPC وkafka، وتأمين التطبيقات الخاصة بك مع رؤية عميقة والتحكم في الوصول الدقيق. لمعرفة المزيد، راجع وثائق نظرة عامة على نهج L7 .

التسعير

هام

خدمات شبكات الحاويات المتقدمة هي عرض مدفوع. لمزيد من المعلومات حول التسعير، راجع خدمات شبكات الحاويات المتقدمة - التسعير.

إعداد خدمات شبكات الحاويات المتقدمة على نظام المجموعة

المتطلبات الأساسية

  • حساب Azure مع اشتراك نشط. في حال لم يكن لديك اشتراك، أنشئ حسابًا مجانيًا قبل البدء.
  • الحد الأدنى لإصدار Azure CLI المطلوب للخطوات الواردة في هذه المقالة هو 2.71.0. قم بتشغيل az --version للعثور على الإصدار. إذا كنت بحاجة إلى التثبيت أو الترقية، فراجع تثبيت Azure CLI.

تثبيت aks-preview امتداد Azure CLI

قم بتثبيت أو تحديث ملحق معاينة Azure CLI باستخدام az extension add الأمر أو az extension update .

الحد الأدنى من إصدار ملحق aks-preview Azure CLI هو 14.0.0b6

# Install the aks-preview extension
az extension add --name aks-preview
# Update the extension to make sure you have the latest version installed
az extension update --name aks-preview

تسجيل AdvancedNetworkingL7PolicyPreview العلامات المميزة

إشعار

ميزات أمان شبكة الحاوية المدعومة فقط على Azure CNI المدعومة من أنظمة المجموعات المستندة إلى Cilium.

تسجيل علامة الميزة AdvancedNetworkingL7PolicyPreview باستخدام az feature register الأمر .

az feature register --namespace "Microsoft.ContainerService" --name "AdvancedNetworkingL7PolicyPreview"

تحقق من التسجيل الناجح باستخدام az feature show الأمر . يستغرق التسجيل بضع دقائق حتى يكتمل.

az feature show --namespace "Microsoft.ContainerService" --name "AdvancedNetworkingL7PolicyPreview"

إنشاء مجموعة موارد

وتُعد مجموعة الموارد عبارة عن حاوية منطقية يتم فيها توزيع موارد Azure وإدارتها. إنشاء مجموعة موارد باستخدام az group create الأمر .

# Set environment variables for the resource group name and location. Make sure to replace the placeholders with your own values.
export RESOURCE_GROUP="<resource-group-name>"
export LOCATION="<azure-region>"
# Create a resource group
az group create --name $RESOURCE_GROUP --location $LOCATION

تمكين وتعطيل خدمات شبكات الحاويات المتقدمة في نظام مجموعة AKS

إنشاء نظام مجموعة AKS مع خدمات شبكات الحاويات المتقدمة

الأمر az aks create مع علامة Advanced Container Networking Services، ، --enable-acnsينشئ مجموعة AKS جديدة مع جميع ميزات خدمات شبكات الحاويات المتقدمة. وتشمل هذه الميزات ما يلي:

  • مراقبة شبكة الحاوية: توفر رؤى حول نسبة استخدام الشبكة. لمعرفة المزيد، تفضل بزيارة مراقبة شبكة الحاوية.

  • أمان شبكة الحاوية: يوفر ميزات أمان مثل تصفية FQDN. لمعرفة المزيد، تفضل بزيارة Container Network Security.

إشعار

تدعم المجموعات ذات مستوى بيانات Cilium إمكانية مراقبة شبكة الحاوية وأمان شبكة الحاوية بدءا من Kubernetes الإصدار 1.29.

عند تعيين المعلمة --acns-advanced-networkpolicies إلى "L7"، يتم تمكين نهج تصفية L7 وFQDN. إذا كنت تريد فقط تمكين تصفية FQDN، فقم بتعيين المعلمة إلى "FQDN". لتعطيل كلتا الميزتين، يمكنك اتباع الإرشادات المتوفرة في تعطيل أمان شبكة الحاوية.

# Set an environment variable for the AKS cluster name. Make sure to replace the placeholder with your own value.
export CLUSTER_NAME="<aks-cluster-name>"

# Create an AKS cluster
az aks create \
    --name $CLUSTER_NAME \
    --resource-group $RESOURCE_GROUP \
    --network-plugin azure \
    --network-plugin-mode overlay \
    --network-dataplane cilium \
    --kubernetes-version 1.29 \
    --enable-acns \
    --acns-advanced-networkpolicies <L7/FQDN>

تمكين خدمات شبكات الحاويات المتقدمة على نظام مجموعة موجود

الأمر az aks update مع علامة Advanced Container Networking Services، --enable-acns، يحدث مجموعة AKS موجودة مع جميع ميزات خدمات شبكة الحاوية المتقدمة التي تتضمن مراقبة شبكة الحاوية وميزة أمان شبكة الحاوية.

إشعار

تدعم المجموعات ذات مستوى بيانات Cilium إمكانية مراقبة شبكة الحاوية وأمان شبكة الحاوية بدءا من Kubernetes الإصدار 1.29.

عند تعيين المعلمة --acns-advanced-networkpolicies إلى "L7"، يتم تمكين نهج تصفية L7 وFQDN. إذا كنت تريد فقط تمكين تصفية FQDN، فقم بتعيين المعلمة إلى "FQDN". لتعطيل كلتا الميزتين، يمكنك اتباع الإرشادات المتوفرة في تعطيل أمان شبكة الحاوية.

az aks update \
    --resource-group $RESOURCE_GROUP \
    --name $CLUSTER_NAME \
    --enable-acns \
    --acns-advanced-networkpolicies <L7/FQDN>

تعطيل خدمات شبكات الحاويات المتقدمة

تقوم --disable-acns العلامة بتعطيل جميع ميزات خدمات شبكات الحاويات المتقدمة على مجموعة AKS الحالية التي تتضمن مراقبة شبكة الحاوية وأمان شبكة الحاوية

az aks update \
    --resource-group $RESOURCE_GROUP \
    --name $CLUSTER_NAME \
    --disable-acns

تعطيل تحديد ميزات Advanced Container Networking Services

تعطيل مراقبة شبكة الحاوية

لتعطيل ميزات مراقبة شبكة الحاوية دون التأثير على ميزات خدمات شبكات الحاويات المتقدمة الأخرى، استخدم --enable-acns و --disable-acns-observability

az aks update \
    --resource-group $RESOURCE_GROUP \
    --name $CLUSTER_NAME \
    --enable-acns \
    --disable-acns-observability 

تعطيل أمان شبكة الحاوية

لتعطيل ميزات أمان شبكة الحاوية دون التأثير على ميزات خدمات شبكات الحاويات المتقدمة الأخرى، استخدم --enable-acns و --disable-acns-security

az aks update \
    --resource-group $RESOURCE_GROUP \
    --name $CLUSTER_NAME \
    --enable-acns \
    --disable-acns-security

الخطوات التالية